Ransomware WannaCry: cos’è e come difendersi

Il Ransomware WannaCry è stato attivato fra venerdì 12 e sabato 13 maggio da strumenti digitali una volta usati dagli 007 Usa: i cybercriminali hanno sfruttato una falla di Microsoft.

Fra venerdì 12 e sabato 13 maggio 2017 si è consumato un vero e proprio attacco improvviso, massivo, fulmineo che nel giro di poche ore ha colpito 74 Paesi nel mondo (sostanzialmente quelli attivi al momento dell’attacco e quindi soprattutto i paesi asiatici), mandando ko organizzazioni come il colosso spagnolo Telefonica e una serie di ospedali britannici.

Come funzionano i Ransomware “tradizionali”

I virus del riscatto, noti come ransomware, non sono un fenomeno nuovo, e nella loro reincarnazione più aggressiva imperversano anche in Italia da almeno due anni. La dinamica è la seguente: arriva una mail che sembra provenire da un ente noto, ma è inviata dai criminali; l’utente apre l’allegato che infetta il suo pc; i file vengono cifrati e diventano irrecuperabili, a meno di non averne una copia da qualche parte; gli attaccanti lasciano le istruzioni per pagare un riscatto con la moneta elettronica Bitcoin e ottenere la chiave per decifrarli.

Questo era l’andamento generale fino a ieri. Che è stata però una giornata senza precedenti per l’aggressività del software malevolo impiegato e per la sua capacità di diffondersi come un incendio. Infatti esistono tante varietà di ransowmare, tante famiglie diverse, più o meno efficaci. Quella responsabile dell’esplosione di ieri si chiama «WannaCry»: esisteva da marzo, e a dire il vero non sembrava fare molti danni. Ciò che l’ha «armata», trasformandola nel panzer dei ransomware, è stato un codice di attacco, battezzato Eternalblue, che era originariamente usato dall’Agenzia nazionale per la sicurezza Usa, la Nsa.

Come è finito online  

Tale strumento – in gergo exploit – sfruttava una vulnerabilità di un software di Microsoft. Sconosciuta ai più, almeno fino a quando, alcune settimane fa, non è stato messa online, a disposizione di chiunque, da un misterioso gruppo di hacker di nome Shadow Brokers. I quali hanno in qualche modo sottratto una serie di strumenti e di «armi digitali» all’agenzia Usa; e a cominciare dalla scorsa estate hanno iniziato a buttarli online. Dunque, succede che Shadow Brokers si impossessa dell’attacco informatico della Nsa. Lo rilascia online. Qualcuno lo prende, lo usa per potenziare un ransomware mediocre, e inizia una campagna globale e massiva di infezioni. Che propagandosi velocemente dentro le organizzazioni colpite le mette in ginocchio.

Bersagli colpiti via email  

Questo genere di attacchi è spesso fatto a pioggia e a 360 gradi. I cybercriminali inviano il virus a liste di email di cui sono entrati in possesso, localizzando solo i messaggi nella lingua del Paese. Ma è possibile che recentemente ci sia più interesse verso target specifici – aziende e ospedali – perché ritenuti più propensi a pagare. Per altro versare il riscatto non garantisce mai il recupero dei dati. E soprattutto alimenta l’economia criminale.

Perché è così potente

L’attacco rubato alla Nsa che sfrutta la falla Microsoft permette al virus di diffondersi facilmente attraverso la rete interna di una organizzazione. È per questo motivo che anche grosse aziende, che fino a ieri riuscivano a gestire senza problemi delle occasionali infezioni di ransomware, in questo caso sono state travolte. Microsoft a marzo aveva chiuso la falla in questione ma il problema è che molti utenti, enti, imprese non hanno fatto l’aggiornamento. Per inciso: la vulnerabilità riguarda i Microsoft Windows Smb Server, e se non avete ancora aggiornato, fatelo adesso!

Windows UpdatesCome difendersi

Microsoft ha pubblicato una guida per gli utenti che vogliano difendersi dall’attacco WannaCrypt, segnalando le patch che contengono le difese dei propri sistemi operativi e, in via eccezionale, rilasciando tali patch anche per i sistemi non più supportati, come Windows XP e Windows Server 2003.

Consigliamo quindi caldamente di aggiornare il vostro sistema operativo Windows, a seconda della versione che avete installato, attraverso i seguenti link:

Download English language security updates: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

Download localized language security updates: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

 

Anche IBM Security ha pubblicato una guida su come rispondere alla minaccia Ransomware.

 



Cfr. www.lastampa.it – Articolo di Carola Frediani

Related Posts

Pin It on Pinterest